OpenSSF (Open Source Security Foundation) predstavio je projekt Alpha-Omega, usmjeren na poboljšanje sigurnosti softvera otvorenog koda. Početna ulaganja u razvoj projekta u iznosu od 5 milijuna dolara te osoblje za pokretanje inicijative osigurat će Google i Microsoft. Druge se organizacije također potiču na sudjelovanje, kako kroz pružanje inženjerskih talenata tako i na razini financiranja, što će pomoći u povećanju broja projekata otvorenog koda koji će biti obuhvaćeni inicijativom. Osim toga, krajem prošle godine za rad Zaklade OpenSSF izdvojeno je 10 milijuna dolara, a hoće li ta sredstva biti iskorištena za inicijativu Alpha-Omega, nije navedeno.
Projekt Alpha-Omega sastoji se od dvije komponente:
- Dio Alpha uključuje provođenje ručne sigurnosne revizije 200 široko korištenih projekata otvorenog koda, najpopularnijih zbog upotrebe u obliku ovisnosti ili infrastrukturnih elemenata. Rad će se odvijati u suradnji s održavateljima i uključivat će sustavnu analizu koda za prepoznavanje novih ranjivosti i njihovo brzo popravljanje.
- Dio Omege usmjeren je na provođenje automatiziranog testiranja 10 tisuća najpopularnijih projekata otvorenog koda. Osnovat će se poseban tim inženjera koji će provoditi testiranje, poboljšavati korištene metode, analizirati rezultate testiranja, prenositi informacije razvojnim programerima projekta i koordinirati suradnju u rješavanju kritičnih problema. Glavni zadatak ovog tima bit će odbacivanje lažno pozitivnih i identificiranje stvarnih ranjivosti u automatiziranim izvješćima.
Potreba za ručnom revizijom u alfa fazi je zbog potrebe da se identificiraju skriveni problemi koje je problematično identificirati tijekom automatiziranog testiranja. Kao primjer takvih problema spominju se nedavne kritične ranjivosti u Log4j-u koje su ugrozile infrastrukturu velikog broja velikih tvrtki. Projekti za reviziju bit će odabrani uzimajući u obzir preporuke stručne zajednice i podatke iz prethodno generiranih kritičnih ocjena i cenzusnih ocjena.
Podsjetimo, OpenSSF je nastao pod okriljem Linux Foundationa i fokusiran je na rad u područjima kao što su koordinirano otkrivanje ranjivosti, distribucija zakrpa, razvoj sigurnosnih alata, objavljivanje najboljih praksi za siguran razvoj, prepoznavanje sigurnosnih prijetnji u otvorenom softveru, izvođenje radova na reviziji i jačanju sigurnosti kritičnih open source projekata, izrada alata za provjeru identiteta programera. OpenSSF nastavlja razvijati inicijative kao što su Core Infrastructure Initiative i Open Source Security Coalition, a također integrira i druge poslove povezane sa sigurnošću koje poduzimaju tvrtke koje su se pridružile projektu. Tvrtke osnivači OpenSSF-a uključuju Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk i VMware.
Izvor: opennet.ru